Il 2022 vedrà la cyber sicurezza entrare prepotentemente nell’industria automotive europea
In conseguenza dell’attuazione della normativa Unece R155, il rispetto delle best practices della sicurezza ed i concetti legati al “secure by design”, entreranno a pieno titolo con l’applicazione della General Safety Regulation (Gsr), che entra nell’insieme di regole da rispettare per ottenere l’omologazione di una vettura nell’Unione Europea.
Unece (United Nation Economic Council for Europe) è un organismo che si occupa di definire i regolamenti relativi a diversi aspetti della società e dell’industria, e attraverso il gruppo di lavoro WP 29 si occupa in particolare delle normative per l’omologazione dei veicoli. Attraverso la Regulation 155 (approvata dalla UE nel 2022), definisce una roadmap e degli obblighi per i car maker rispetto alla cyber sicurezza. Unece ha approvato una seconda regulation (R 156) che va a regolamentare, sempre nel campo automotive, la sicurezza nell’aggiornamento del software in modalità “over the air”.
La Unece R 155 definisce dunque una roadmap ed un insieme di requisiti. La roadmap indica che quanto prescritto debba essere applicato entro giugno 2022 per l’omologazione di tutti i nuovi modelli che entreranno da quel momento sul mercato, e dal giugno 2024 per tutte le vetture che saranno immatricolate nei paesi dove vengono applicate le norme Unece, tutta l’Unione Europea in particolare.
Dal punto di vista dei requisiti, la R 155, copre tutto il ciclo di vita del veicolo, partendo dal concept, passando per il design, la produzione, le operation, l’assistenza ed arrivando fino alla rottamazione. Si intuisce da quanto detto che l’impatto sul car maker, e su tutta la filiera dei fornitori è decisamente importante. Infatti, la normativa richiede che il costruttore automobilistico, coinvolga i suoi fornitori (passando in cascata i requisiti di cyber sicurezza) nel processo di sviluppo di una vettura “secure by design” e nel processo continuous monitoring dei rischi e dei threat di sicurezza. Oltre la definizione dei rischi di cui tener conto nella fase di design, è necessario predisporre un sistema di sorveglianza attiva sui rischi e le vulnerabilità che dovessero manifestarsi sul prodotto in esercizio. Una vera rivoluzione.
Processi di sviluppo e gestione della cyber sicurezza
Entrando più nel dettaglio, la norma si divide in due macro-parti: una relativa ai processi di sviluppo e gestione della cyber sicurezza nell’organizzazione dell’azienda, e l’altra alla cyber sicurezza del prodotto. Si parla nel primo caso di Csms (Cybersecurity Management System), ovvero del fatto che un car maker deve dotarsi di un sistema di gestione della sicurezza (che dovrà essere certificato da un ente certificatore) che parte dalla gestione delle policy, passa dall’individuazione e gestione dei rischi ed arriva fino alla gestione degli eventi legati a cyber attacks.
Nel secondo caso invece, la UN R 155 definisce delle classi di rischi che devono essere considerati, e rispetto alle quali il veicolo deve essere protetto, lasciando al car maker ed ai fornitori di primo livello la definizione delle tecniche e delle soluzioni. La UN R 155 infatti non entra nel merito delle soluzioni, ma definisce gli ambiti da considerare nella definizione di una strategia di protezione. Ovviamente richiede anche che vengano svolti opportuni test per verificare che le strategie implementate effettivamente funzionino e riducano i rischi ad un livello accettabile.
Nell’industria dell’auto si sta verificando un profondo cambiamento legato alla consapevolezza che la cyber sicurezza è un elemento abilitante dello sviluppo di un prodotto sempre più digitale e sempre più parte del complesso ecosistema della mobilità, che richiede una forte connessione ed una sempre maggiore integrazione di tutti i suoi componenti ed attori. Questa nuova consapevolezza e l’applicazione di quanto prescritto dagli enti di regolamentazione contribuiranno a sviluppare un prodotto sempre più sicuro ed affidabile per il benessere degli acquirenti e della collettività.
Fonte: Corcom